Populaire consumentenrouters, zoals die van Netgear, zijn kwetsbaar voor Remote Code Execution (RCE) door een fout in de KCodes NetUSB kernel module. Deze module wordt gebruikt om op afstand te verbinden met USB-apparaten die met de router verbonden zijn. Hierdoor gebruik je deze USB-apparaten alsof ze direct op je computer zijn aangesloten.
De fout bevindt zich in de kernel. Dit omvat de belangrijkste code van de module en wordt bijvoorbeeld als eerste gestart. Zo omzeilt deze de beveiligingslagen die erboven liggen. Via een zogeheten buffer overflow zouden kwaadwillenden het apparaat over kunnen nemen.
Gedrag forceren
In simpele termen gesproken kunnen kwaadwillenden onverwacht gedrag in de USB-module forceren. Hierdoor kan er code uitgevoerd worden waar normaal authenticatie aan vooraf zou moeten gaan. Denk bijvoorbeeld aan het openen van een deur zonder dat er gecontroleerd wordt of je de juiste toegangscode hebt ingevoerd. Op deze manier krijgen de boeven toegang tot het USB-apparaat en het netwerk.
Lek als kritiek aangemerkt
Max van Amerongen van beveiligingsbedrijf Sentinel One ontdekte het lek. Hij geeft aan dat het exploiteren van deze kwetsbaarheid erg moeilijk is. Maar voor kwaadwillenden met tijd, geld en kennis zeker is het niet onmogelijk. De kwetsbaarheid is te vinden in miljoenen populaire routers, zoals die van Netgear en TP-Link, en daardoor blijft de kans bestaan dat een hackersgroep tijd en moeite in de kwetsbaarheid investeert. Om deze reden is het lek nog steeds als kritiek aangemerkt.
Gebruikers wordt aangeraden om deze maand de firmware updates voor hun routers te installeren zodra deze beschikbaar komen.
